ENTEL Weekly Threat Intelligence Brief del 27 de junio al 03 de julio de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

• AstraLocker 2.0 opera ransomware directamente desde los documentos de Office.
• Macmillan apaga los sistemas después de un posible ataque de ransomware.
• Grupo Lazarus APT sospechoso del hackeo de Harmony.
• La principal empresa siderúrgica de Irán detuvo la producción debido a un ciberataque.
• Grupo de amenazas seguido como SectorJ46 aumenta actividades en LATAM con objetivo de distribución de malware.
• Raccoon Stealer regresa a la escena después de una pausa.
• Una nueva vulnerabilidad en UnRAR podría permitir a los atacantes piratear los servidores de correo web de Zimbra.
• Mozilla corrige vulnerabilidades de seguridad e introduce una nueva característica de privacidad para Firefox.

Vice Society reclama un ataque de ransomware en Medical University of Innsbruck
Vice Society se atribuyó la responsabilidad del ataque cibernético de la semana pasada contra la Universidad Médica de Innsbruck (Austria), que causó una grave interrupción del servicio de TI y un presunto robo de datos.

La universidad de investigación tiene 3.400 estudiantes y 2.200 empleados y ofrece amplios servicios de atención médica, incluidas cirugías.

La universidad austriaca reveló una interrupción de TI el 20 de junio de 2022, lo que restringió el acceso a servidores en línea y sistemas informáticos.

Ataque de ransomware provocó la interrupción continua del sistema telefónico e Internet de Napa Valley College
El sitio web y los sistemas de red de Napa Valley College se desconectaron como resultado de un ataque de ransomware hace aproximadamente dos semanas, confirmó un portavoz de la escuela.

Napavalley.edu aún estaba offline el sábado por la tarde, ya que NVC continuó una investigación que comenzó poco después de que el sitio desapareciera de Internet el 10 de junio o antes. Los intentos de visitar el sitio resultaron en el mensaje "no se puede acceder a este sitio". ” o una redirección a GoDaddy.com , una empresa que registra nombres de dominio en Internet.

AstraLocker 2.0 opera ransomware directamente desde los documentos de Office
ReversingLabs descubrió recientemente una nueva versión del ransomware AstraLocker (AstraLocker 2.0) que se distribuía directamente desde los archivos de Microsoft Office utilizados como cebo en los ataques de phishing. El análisis sugiere que el actor de amenazas responsable de esta campaña probablemente obtuvo el código subyacente de AstraLocker 2.0 de una filtración del ransomware Babuk en septiembre de 2021 . Los enlaces entre las dos campañas incluyen código compartido y marcadores de campaña, mientras que una dirección de billetera Monero que figura para el pago del rescate está vinculada a la pandilla Chaos Ransomware.

La Agencia coreana de ciberseguridad lanzó un descifrador gratuito para el ransomware Hive
La Agencia de Seguridad e Internet de Corea (KISA) está distribuyendo la herramienta de recuperación integrada del ransomware Hive. Esta herramienta de recuperación puede recuperar la versión 1 a la versión 4 del ransomware Hive.

La operación de ransomware Hive ha estado activa desde junio de 2021, proporciona Ransomware-as-a-Service (RaaS) Hive y adopta un modelo de doble extorsión que amenaza con publicar datos robados a las víctimas en su sitio de fuga (HiveLeaks). En abril de 2021, la Oficina Federal de Investigaciones (FBI)  publicó una alerta rápida  sobre los  ataques de ransomware Hive  que incluye detalles técnicos e indicadores de compromiso asociados con las operaciones de la agrupación. 

Walmart niega haber sido atacado por el ransomware Yanluowang
El minorista estadounidense Walmart ha negado haber sido atacado con un ataque de ransomware por parte de la pandilla Yanluowang después de que los piratas informáticos afirmaron cifrar miles de computadoras.

En una declaración, Walmart ha dicho que su "equipo de seguridad de la información está monitoreando nuestros sistemas las 24 horas del día, los 7 días de la semana" y cree que las afirmaciones son inexactas.

"Creemos que esta afirmación es inexacta y no tenemos conocimiento de un ataque exitoso en este sentido en nuestros dispositivos".

Macmillan apaga los sistemas después de un posible ataque de ransomware.
El gigante editorial Macmillan se vio obligado a cerrar su red y sus oficinas mientras se recuperaba de un incidente de seguridad que parece ser un ataque de ransomware.

Según los informes, el ataque ocurrió durante el fin de semana, el sábado 25 de junio, y la empresa cerró todos sus sistemas de TI para evitar la propagación del ataque.

Publishers Weekly informó por primera vez sobre el incidente, al ver correos electrónicos de Macmillan que decían que sufrieron un "incidente de seguridad, que involucra el cifrado de ciertos archivos en nuestra red". El uso de cifrado en el ataque indica que fue un ataque de ransomware.

RansomHouse se adjudica el compromiso de la empresa de Procesadores AMD
El gigante de los semiconductores AMD emitió un comunicado a inversionistas y clientes, que actualmente se encuentran investigando un ataque a sus infraestructuras, después de que el grupo de Ransomware RansomHouse, afirmara haber robado un aproximado de 450 GB de datos de la compañía en el transcurso del año pasado.

Hace algunas semanas, los operadores RansomHouse, habrían indicado (mediante algunas bromas) en su canal de Telegram, que incentivaría la venta de datos de una conocida compañía de tres letras que comienza con la letra A. El día 27 de junio del presente año, el grupo agregó a la empresa AMD a su sitio de filtración de datos.

Entidad gubernamental de Indonesia es comprometida en ataque de ransomware
El día 27 de junio, el grupo de ransomware Vice Society publicó en su sitio de leaks, el haber comprometido al Ministerio de Agricultura de Indonesia.

Al momento, la entidad gubernamental no ha emitido algún comunicado oficial acerca del ataque y qué datos podrían verse comprometidos en dicha situación.

Grupo de ransomware sospechoso en el ataque de Wiltshire Farm Foods.
Un importante productor de comidas preparadas congeladas del Reino Unido ha revelado que sus sistemas no funcionan actualmente después de sufrir un grave ataque cibernético.

Wiltshire Farm Foods dijo el domingo que “actualmente está experimentando graves dificultades” con sus sistemas informáticos.

Aunque la empresa dio a conocer algunos otros detalles sobre el ataque, los expertos en seguridad señalaron rápidamente la causa en redes sociales.

Grupo Lazarus APT sospechoso del hackeo de Harmony
Recientemente, los actores de amenazas han robado USD 100 millones en criptomonedas de la empresa Blockchain Harmony. La compañía reportó el incidente a las autoridades, el FBI está investigando el robo cibernético con la ayuda de varias firmas de ciberseguridad. 

Horizon Bridge de Harmony permite a los usuarios transferir sus activos criptográficos de una cadena de bloques a otra, la compañía detuvo inmediatamente el puente para evitar más transacciones y notificó a otros intercambios.

La compañía también ofrece una recompensa de $1 millón a cambio de la devolución de los fondos.

Grupos APT apuntan a los sistemas de control industrial con ShadowPad Backdoor
La semana anterior, se abordó un resumen respecto a las operaciones llevadas a cabo con el fin de distribuir una herramienta para comprometer infraestructura crítica en diferentes localidades. Las entidades ubicadas en Afganistán, Malasia y Pakistán están en el punto de mira de una campaña de ataque que tiene como objetivo los servidores Microsoft Exchange sin parches como un vector de acceso inicial para implementar el malware ShadowPad.

La firma rusa de ciberseguridad Kaspersky, que detectó por primera vez la actividad a mediados de octubre de 2021, la atribuyó a un actor de amenazas de habla china previamente desconocido. Los objetivos incluyen organizaciones en los sectores de telecomunicaciones, manufactura y transporte.

Evilnum APT regresa con mejores TTP
Evilnum es un grupo APT sofisticado, activo desde 2018. Sin embargo, sus herramientas y técnicas se descubrieron dos años después de que comenzara a operar. Los expertos de Zscaler monitorearon las actividades del actor de amenazas y observaron que ahora es más fuerte con un arsenal mejorado.

El grupo está poniendo su mirada principalmente en organizaciones del sector de servicios financieros en Europa, incluido el Reino Unido.

En marzo, el grupo comenzó a apuntar a una organización internacional involucrada con la migración internacional. 

La campaña utiliza documentos cargados de macros que tienen distintos nombres de archivo y contienen el término "cumplimiento". Se han identificado al menos nueve de esos documentos.

El archivo adjunto utiliza código VBA ofuscado e inyección de plantilla para evadir la detección por parte de las soluciones de seguridad.

Grupo APT Gelsemium estaría detrás de operación global de espionaje por medio de servidores MS Exchange comprometidos
Los atacantes usaron un malware recientemente descubierto en servidores de Microsoft Exchange de puerta trasera pertenecientes a organizaciones gubernamentales y militares de Europa, Medio Oriente, Asia y África.

El malware, denominado SessionManager por los investigadores de seguridad de Kaspersky, que lo detectaron por primera vez a principios de 2022, es un módulo de código nativo malicioso para el software del servidor web Internet Information Services (IIS) de Microsoft.

Se ha utilizado en la naturaleza sin ser detectado desde al menos marzo de 2021, justo después del comienzo de la  ola masiva de ataques ProxyLogon del año pasado .

APT38 efectúa operación contra cadena de suministros con objetivo industria farmacéutica
En una investigación anterior respecto al grupo APT38, se analizó el acceso inicial de CryptoSpy a través del compromiso de la cadena de suministro. Esta semana se detectó una campaña de phishing selectivo lanzada por APT38, donde utlizó técnicas de subversión de control de confianza contra compañías farmacéuticas desde el año 2020. 

Grupo Lazarus es vinculado al uso de ransomware en ataques para robo de criptomonedas.
El ladrón de criptomonedas Lazarus Group parece estar ampliando su alcance para usar ransomware como una forma de estafar a las instituciones financieras y otros objetivos en la región de Asia-Pacífico (APAC), según descubrieron los investigadores.

Las transacciones financieras y las similitudes con el malware anterior en su código fuente vinculan una cepa de ransomware recientemente surgida llamada VHD con los actores de amenazas de Corea del Norte, también conocidos como Unidad 180 o APT35.

Grupo DragonForce lanza explotación LPE para despliegue de ransomware
El grupo hacktivista DragonForce Malaysia ha lanzado un exploit que permite la escalada de privilegios locales (LPE) de Windows Server para otorgar acceso a las capacidades del enrutador de distribución local (LDR). También anunció que agregará ataques de ransomware a su arsenal.

El grupo publicó una prueba de concepto (PoC) del exploit en su canal de Telegram el 23 de junio, que posteriormente fue analizada por CloudSEK esta semana. Si bien no hay un CVE conocido para el error, el grupo afirma que el exploit se puede usar para evitar la autenticación "de forma remota en un segundo" para acceder a la capa LDR, que se usa para interconectar redes locales en varias ubicaciones de una organización.

Principal empresa siderúrgica de Irán detuvo la producción debido a un ciberataque
El sector industrial de Irán fue golpeado por un gran ataque cibernético por un actor de amenazas que se hace llamar "Gonjeshke Darande", el que habría comprometido a la siderúrgica Khouzestan Steel Co. de propiedad estatal y otras dos importantes empresas del mismo rubro en Irán: Mobarakeh Steel Co. y Hormozgan Steel Co.

Según los piratas informáticos, atacaron las tres instalaciones antes mencionadas en respuesta a la “agresión de la República Islámica”.

Los atacantes también publicaron un video que mostraba una línea de producción de palanquilla de acero dañada y un gran incendio supuestamente en el piso de una fábrica.

Operaciones de información alineadas con China apuntan a empresas occidentales de minerales y tierras raras
Una operación de información alineada con China conocida como Dragonbridge apuntó a empresas estadounidenses, australianas y canadienses de minerales de tierras raras en un aparente intento de apuntalar el dominio del mercado chino, anunciaron el martes investigadores de Mandiant.

China produce la gran mayoría de los 17 minerales de tierras raras que son críticos en la fabricación de productos electrónicos. A medida que surgieron preocupaciones geopolíticas y de la cadena de suministro, también lo hizo el abastecimiento de minerales de tierras raras. China amenazó con un embargo de tierras raras en 2019, durante una guerra comercial instituida por la administración Trump. A principios de este mes, Estados Unidos, la Unión Europea y nueve países adicionales , incluidos el Reino Unido, Corea del Sur, Australia y Canadá, firmaron un acuerdo para crear un suministro adicional.

Grupo de amenazas seguido como SectorJ46 aumenta actividades en LATAM con objetivo de distribución de malware
El grupo envió correos electrónicos de phishing con el fin de asegurar los recursos financieros y diseminó programas maliciosos a través de páginas web vulnerables para robar información financiera como criptomonedas y detalles de tarjetas de crédito. En esta actividad, se disfrazaron de agencia gubernamental para difundir correos electrónicos de phishing con archivos comprimidos protegidos con contraseña.

Nuevo troyano bancario para Android 'Revive' dirigido a usuarios de servicios financieros españoles
Se ha descubierto un troyano bancario Android previamente desconocido, dirigido a los usuarios de la empresa española de servicios financieros BBVA.

Se dice que se encuentra en sus primeras etapas de desarrollo, el malware, denominado Revive por la firma italiana de ciberseguridad Cleafy, se observó por primera vez el 15 de junio de 2022 y se distribuyó mediante campañas de phishing.

Malware ZuoRAT secuestrando enrutadores de oficinas domésticas para espiar redes específicas
Un troyano de acceso remoto nunca antes visto denominado ZuoRAT ha estado seleccionando enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) como parte de una campaña sofisticada dirigida a las redes de América del Norte y Europa.

El malware "otorga al actor la capacidad de pivotar en la red local y obtener acceso a sistemas adicionales en la LAN secuestrando las comunicaciones de la red para mantener un punto de apoyo no detectado".

Nuevo malware YTStealer tiene como objetivo secuestrar las cuentas de los creadores de contenido de YouTube
Investigadores de seguridad han documentado un nuevo malware que roba información y se dirige a los creadores de contenido de YouTube saqueando sus cookies de autenticación.

Apodada "YTStealer" por Intezer, es probable que se crea que la herramienta maliciosa se vende como un servicio en la web oscura, y se distribuye utilizando instaladores falsos que también eliminan RedLine Stealer y Vidar.

"Lo que distingue a YTStealer de otros ladrones que se venden en el mercado de la web oscura es que se centra únicamente en recopilar credenciales para un solo servicio en lugar de apoderarse de todo lo que puede obtener".
 

Microsoft advierte sobre una campaña de malware de criptominería dirigida a servidores Linux
Un grupo de actores de amenazas en la nube rastreado como 8220 ha actualizado su conjunto de herramientas de malware para violar los servidores Linux con el objetivo de instalar criptomineros como parte de una campaña de larga duración.

"Las actualizaciones incluyen el despliegue de nuevas versiones de un criptominero y un bot de IRC", dijo Microsoft Security Intelligence en una serie de tuits. "El grupo ha actualizado activamente sus técnicas y cargas útiles durante el último año".

Investigadores advierten sobre la nueva puerta trasera 'SessionManager' que se empleó en ataques dirigidos a servidores Microsoft IIS desde marzo de 2021
La puerta trasera SessionManager se empleó en ataques contra ONG, organizaciones gubernamentales, militares e industriales en África, América del Sur, Asia, Europa, Rusia y Oriente Medio. Los investigadores atribuyen el ataque al actor de amenazas GELSEMIUM debido a las víctimas similares y al uso de una   variante común de OwlProxy .

SessionManager está escrito en C++, es un  módulo IIS de código nativo malicioso  que algunas aplicaciones IIS cargan para procesar solicitudes HTTP legítimas que se envían continuamente al servidor.

Hackers prorrusos lanzaron un ataque DDoS masivo contra Noruega
La Autoridad de Seguridad Nacional de Noruega (NSM) confirmó que algunos de los sitios web y servicios en línea más importantes del país fueron eliminados por un ataque DDoS masivo realizado por un grupo pro-ruso.

NSM no atribuyó explícitamente los ataques a un actor de amenazas, pero el grupo Pro-Russian Legion/Cyber ​​Spetsnaz publicó en su canal de Telegram una lista de organizaciones noruegas a las que apuntar.

Ataques similares se dirigieron recientemente al  gobierno lituano , organizaciones italianas y sitios web gubernamentales, y Rumania por brindar apoyo a Ucrania.

Ciberdelincuentes usan Deep Fake para entrevistas de trabajo remoto
Los expertos en seguridad están alerta ante la próxima evolución de la ingeniería social en entornos comerciales: entrevistas de trabajo falsas. La última tendencia ofrece un vistazo al futuro arsenal de delincuentes que utilizan personajes falsos y convincentes contra los usuarios comerciales para robar datos y cometer fraude.

La preocupación surge luego de un nuevo aviso esta semana del Centro de Quejas de Delitos en Internet (IC3) del FBI, que advirtió sobre una mayor actividad de los estafadores que intentan manipular el proceso de entrevistas en línea para puestos de trabajo remoto. El aviso decía que los delincuentes están utilizando una combinación de videos falsos y datos personales robados para falsificarse y obtener empleo en una variedad de puestos de trabajo desde el hogar que incluyen tecnología de la información, programación de computadoras, mantenimiento de bases de datos y funciones laborales relacionadas con el software.

Raccoon Stealer regresa a la escena después de una pausa.
Los autores de "Raccoon Stealer", uno de los ladrones de información más prolíficos de 2021, lanzaron una versión nueva y mejorada del malware solo tres meses después de cerrar las operaciones tras la muerte de su desarrollador principal en Ucrania.

Los investigadores del proveedor francés de seguridad cibernética Sekoia informaron esta semana que se toparon con servidores activos que alojaban archivos de Raccoon Stealer mientras buscaban señales del malware a principios de este mes. La investigación posterior de Sekoia mostró que los autores del malware habían estado vendiendo la nueva versión a través de su canal de Telegram desde al menos el 17 de mayo.

Lituania afectada por ataque DDoS lanzado por hacktivistas rusos
El grupo de hackers rusos Killnet admitió haber lanzado un ataque distribuido de denegación de servicio contra sitios web estatales y privados de Lituania en un esfuerzo por tomar represalias contra la decisión del país de prohibir el transporte de mercancías al enclave ruso de Kaliningrado. 

"El ataque continuará hasta que Lituania levante el bloqueo. Hemos demolido 1.652 recursos web. Y eso es solo hasta ahora", dijo un portavoz de Killnet. La mayoría de los sitios web atacados por Killnet incluían los de instituciones estatales, entidades de transporte y organizaciones de medios, según la viceministra de Defensa de Lituania, Margiris Abukeviclus, quien señaló que los ataques se observaron por primera vez el martes pasado.

Bumblebee se une al ecosistema de ransomware distribuyendo diferentes variantes.
Bumblebee es un cargador de malware desarrollado recientemente, pero se ha convertido en el favorito de los ciberdelincuentes. Los investigadores de Symantec descubrieron que el cargador Bumbleebee ha reemplazado a bastantes cargadores antiguos. La herramienta se ha conectado a varias operaciones de ransomware.

Bumblebee ha sido vinculado a operaciones de ransomware por parte de Conti , Quantum y Mountlocker, lo que significa que el malware ahora está a la vanguardia del ecosistema de ransomware. 

Los investigadores, además, sospechan que el cargador puede haber sido utilizado como reemplazo de BazarLoader y Trickbot , dadas las superposiciones en la actividad reciente que involucra a Bumblebee.

El infostealer XFiles agrega soporte para el despliegue de Follina
El infostealer XFiles ha agregado un módulo de entrega que explota CVE-2022-30190, también conocido como Follina, para colocar la carga útil en las computadoras de destino.

La falla, descubierta como un día cero a fines de mayo y reparada con la actualización de Windows de Microsoft el 14 de junio , permite la ejecución de comandos de PowerShell simplemente abriendo un documento de Word.

En el caso del malware XFiles, los investigadores de Cyberint notaron que las campañas recientes que entregan el malware usan Follina para descargar la carga útil, ejecutarla y también crear persistencia en la máquina de destino.

Microsoft anunció que el gusano Raspberry Robin ya ha infectado las redes de cientos de organizaciones
Raspberry Robin es un gusano de Windows descubierto por investigadores de ciberseguridad de Red Canary, el malware se propaga a través de dispositivos USB extraíbles.

El código malicioso usa Windows Installer para llegar a los dominios asociados con QNAP y descargar una DLL maliciosa. El malware utiliza nodos de salida TOR como infraestructura C2 de respaldo.

El malware se detectó por primera vez en septiembre de 2021, los expertos observaron que Raspberry Robin se dirigía a organizaciones en las industrias de tecnología y fabricación. El acceso inicial suele ser a través de unidades extraíbles infectadas, a menudo dispositivos USB.

El nuevo 'Quantum' Builder permite a los atacantes crear fácilmente accesos directos de Windows maliciosos.
Una nueva herramienta de malware que permite a los ciberdelincuentes crear archivos maliciosos de acceso directo de Windows (.LNK ) ha sido descubierta a la venta en foros de ciberdelincuencia.

Apodado Quantum Lnk Builder , el software permite suplantar cualquier extensión y elegir entre más de 300 iconos, sin mencionar la compatibilidad con UAC y la omisión de Windows SmartScreen , así como "múltiples cargas útiles por archivo .LNK". También se ofrecen capacidades para generar cargas útiles .HTA e imagen de disco (.ISO).

Aviso de seguridad para productos Citrix

Citrix ha publicado un nuevo aviso de seguridad que contempla una vulnerabilidad. Esta falla afecta a Citrix Hypervisor y Citrix XenServer, y está clasificada como Severidad Media según CVSS v3.1 con una puntuación de 6.4.

Jenkins publicó un segundo aviso de seguridad en junio con 42 vulnerabilidades
El servidor Jenkins, publicó un aviso de seguridad que contiene 42 vulnerabilidades que se distribuyen en: 12 de severidad Alta , 20  de severidad Media y 10 de severidad Baja.

Una nueva vulnerabilidad en UnRAR podría permitir a los atacantes piratear los servidores de correo web de Zimbra.
Se ha revelado una nueva vulnerabilidad de seguridad en la utilidad UnRAR de RARlab que, si se explota con éxito, podría permitir que un atacante remoto ejecute código arbitrario en un sistema que se basa en el binario.

La falla, a la que se le asignó el identificador CVE-2022-30333, se relaciona con una vulnerabilidad de cruce de ruta en las versiones Unix de UnRAR que puede activarse al extraer un archivo RAR creado con fines malintencionados.

Amazon parcha silenciosamente la vulnerabilidad de 'gravedad alta' en la aplicación Fotos de Android
En diciembre de 2021, Amazon corrige una vulnerabilidad de alta gravedad que afectaba a su aplicación Fotos para Android y que podría haberse aprovechado para robar los tokens de acceso de un usuario.

"El token de acceso de Amazon se utiliza para autenticar al usuario en varias API de Amazon, algunas de las cuales contienen datos personales como el nombre completo, el correo electrónico y la dirección", dijeron los investigadores de Checkmarx João Morais y Pedro Umbelino . "Otros, como la API de Amazon Drive, permiten que un atacante tenga acceso total a los archivos del usuario".

Mozilla corrige vulnerabilidades de seguridad e introduce una nueva característica de privacidad para Firefox
Mozilla lanzó la versión 102.0 del navegador Firefox para los usuarios del canal Release el 28 de junio de 2022.

La nueva versión corrige 20 vulnerabilidades de seguridad, cinco de las cuales están clasificadas como “Altas”. La nueva versión también viene con una nueva función de privacidad que elimina los parámetros de las URL que lo rastrean en la web.

Las fallas de seguridad informática divulgadas públicamente se enumeran en la base de datos de vulnerabilidades y exposiciones comunes (CVE). Su objetivo es facilitar el intercambio de datos entre capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios). Estos son los CVE que creemos que deberías conocer:

Alto
CVE-2022-34479

CVE-2022-34470

CVE-2022-34468

CVE-2022-34484

Moderado
CVE-2022-34482

CVE-2022-34483

CVE-2022-34478 

Complemento WordPress HTML2WP vulnerable a carga de archivos arbitrarios no autenticados.
El día 02 de junio, fue publicada la vulnerabilidad CVE-2022-1574, catalogada como crítica y al momento no se encuentra una remediación para la misma.

Cabe mencionar que el fabricante indica desactivar y eliminar este complemento, ya que se cerró el 4 de mayo de 2022 y no está disponible para descargar. Este cierre es temporal y se encuentra pendiente de una revisión completa.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 04 al 10 de julio de 2022:

Objetivos observados durante semana de análisis: 

• Banca y Finanzas
• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes

• Banca y Finanzas
• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes

• Organizaciones sin fines de lucro.
• Transportes y servicios automotrices.

• Defensa y orden público
• Gobierno
• Infraestructura tecnológica
• Shipment y cadena de suministros

• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Petróleo
• Retail y servicios de consumo
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

Campaña Bumblebee loader

YTStealer Malware

SessionManager Backdoor

Evilnum APT

ZuoRAT Malware

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.